Viele Unternehmen beruhigen sich mit dem Satz „Unsere Daten liegen in Frankfurt“. Diese Aussage kann technisch zutreffen und dennoch rechtlich in die Irre führen. Denn für Zugriffsrisiken durch ausländische Behörden ist nicht allein der physische Speicherort entscheidend, sondern vor allem, welche juristische Kontrolle über den Cloud-Dienst besteht und welche Rechtsordnung den Anbieter zur Mitwirkung verpflichten kann. Ein im Auftrag des deutschen Bundesinnenministeriums erstelltes und später öffentlich gewordenes Rechtsgutachten aus dem März 2025 (geschwärzte Fassung) nimmt genau diese Frage in den Blick und bestätigt die strategische Kernbotschaft: Bei US Cloud Anbietern ist ein Zugriff nach US-Recht nicht durch europäischen Serverstandort ausgeschlossen.
Warum „Data Residency“ allein nicht schützt
Der CLOUD Act hat die extraterritoriale Reichweite bestimmter US-Herausgabepflichten ausdrücklich klargestellt. Im Kern kann ein Anbieter, der der US Jurisdiktion unterliegt und Daten in seinem „possession, custody, or control“ hat, zur Herausgabe verpflichtet werden, auch wenn die Daten außerhalb der USA gespeichert sind. Genau deshalb ist „Serverstandort EU“ keine hinreichende Risikobehandlung, wenn der Anbieter rechtlich kontrolliert werden kann.
Wichtig ist dabei die Differenzierung: Der CLOUD Act adressiert vorrangig strafverfolgungsbezogene, zielgerichtete Zugriffe, nicht automatisch eine beliebige Massenerhebung. Gleichzeitig zeigt die europäische Datenschutzaufsicht in ihrer gemeinsamen Bewertung, dass sich aus der extraterritorialen Anordnungspraxis erhebliche Konflikte mit EU-Recht ergeben können, gerade weil Reichweite und Auslegung von „control“ in Konzernstrukturen praktisch streitanfällig sind.
Geheimdienstzugriffe: FISA Section 702 und der RISAA Effekt
Neben strafverfolgungsbezogenen Instrumenten ist für viele Organisationen das nachrichtendienstliche Zugriffsrisiko entscheidend. Section 702 FISA erlaubt die gezielte Erhebung von Kommunikationsinhalten nicht US Personen außerhalb der USA über US Kommunikationsinfrastruktur, mit programmbasierten Genehmigungen durch den FISC und ohne richterliche Einzelanordnung für jedes Ziel.
Mit dem Reforming Intelligence- and Securing America Act (RISAA), in Kraft seit 20. April 2024, wurde Section 702 verlängert und in zentralen Punkten geändert. Besonders relevant für die Praxis ist die Erweiterung der Definition, welche Unternehmen als „electronic communication service provider“ zur Mitwirkung verpflichtet werden können. Nach der Darstellung des Congressional Research Service umfasst dies nun auch Dienstleister, die Zugang zu Ausrüstung haben, die zur Übertragung oder Speicherung elektronischer Kommunikation genutzt wird, mit bestimmten Ausnahmen. Dadurch kann sich der Kreis potenziell verpflichtbarer Akteure deutlich verbreitern, insbesondere entlang von Betriebs und Lieferketten in IT-Betrieb, Managed Services und Infrastruktur.
Verschlüsselung: wirksam, aber nicht als Ausrede
Verschlüsselung ist ein zentrales Schutzinstrument, aber kein Freibrief. Entscheidend ist, wer die Schlüssel kontrolliert und ob der Cloud Anbieter technisch oder organisatorisch in der Lage ist, Inhalte im Klartext bereitzustellen. Praktisch bedeutet das: Ende zu Ende Verschlüsselung oder konsequentes Kundenschlüsselmanagement (Hold Your Own Key) reduziert das Inhaltsrisiko deutlich, während Standardverschlüsselung „at rest“ beim Hyperscaler das Herausgaberisiko oft nur begrenzt verändert, weil der Anbieter typischerweise weiterhin entschlüsseln kann. Zusätzlich bleibt ein Residualrisiko über Metadaten, Protokolldaten, Identitäts und Zugriffsverwaltung sowie über rechtliche und faktische Druckmittel in Verfahren. Die europäische Aufsicht weist im CLOUD Act Kontext ausdrücklich darauf hin, dass sich Herausgabewege auch auf Nicht Inhaltsdaten erstrecken und damit sensible Profileffekte entstehen können.
Was Vorstände und Geschäftsleitungen jetzt konkret tun sollten
1. Risikobewertung und Klassifizierung als Managemententscheidung verankern
Beginnen Sie nicht mit dem Anbieter, sondern mit den Daten. Klassifizieren Sie Datenarten (z. B. Mandantendaten, Gesundheitsdaten, Geschäftsgeheimnisse, Entwicklungs IP) und ordnen Sie sie Prozessen, Systemen und Zugriffspfaden zu. Daraus leiten Sie ab, welche Workloads überhaupt in eine US kontrollierte Cloud dürfen und welche zwingend in europäische oder souveräne Betriebsmodelle gehören.
2. Anbieter und Konzernstruktur als Due Diligence Pflicht
Prüfen Sie nicht nur den Markennamen, sondern Rechtsform, Hauptsitz, Konzernverflechtungen, operative Kontrollmöglichkeiten, Subunternehmerketten und Transparenzberichte. Berücksichtigen Sie, dass „europäische Tochter“ nicht automatisch „außerhalb US-Zugriff“ bedeutet, wenn Kontrolle, Weisungsrechte oder Herausgabefähigkeit konzernseitig bestehen können.
3. Technische Maßnahmen so gestalten, dass sie rechtlich relevant werden
Setzen Sie Verschlüsselung so um, dass der Anbieter nicht im Besitz der Entschlüsselungsfähigkeit ist, soweit dies mit Geschäftsbetrieb, Suchfunktionen und Compliance vereinbar ist. Ergänzen Sie dies um strikte Segmentierung, Zero Trust Zugriffsmodelle, Minimierung von Metadaten, restriktive Logging Strategien, sowie belastbare Incident und Legal Request Prozesse.
4. Strategische Alternativen real planen, nicht nur in Folien
Sovereign Cloud Modelle, europäische Anbieter, Hybrid Strategien und Multi Cloud sind keine Ideologie, sondern Risikoportfolios. Der RISAA Kontext zeigt, dass Mitwirkungspflichten entlang der technischen Lieferkette tendenziell weiter gefasst werden können. Deshalb sollten Ausweich- und Exit Szenarien, Portabilität, Schlüsselhoheit und Betriebsfähigkeit ohne US kontrollierte Komponenten bereits vor der Migration vertraglich und technisch abgesichert sein.
Fazit
„Serverstandort Deutschland“ ist kein hinreichendes Schutzargument, wenn die juristische Kontrolle und Herausgabefähigkeit außerhalb Europas liegen.
Wer vertrauliche Daten in Cloud Umgebungen verarbeitet, muss das Zugriffsrisiko als Governance Thema behandeln, nicht als Marketing Versprechen.
Die entscheidende Frage lautet deshalb nicht „Wo stehen die Server“, sondern „Wer kann rechtlich und faktisch Zugriff erzwingen und was bleibt dann noch schützenswert“.
Quellenangaben:
Congressional Research Service. (2018). Cross-border data sharing under the CLOUD Act (R45173). Library of Congress. (congress.gov)
Congressional Research Service. (2025). FISA Section 702 and the 2024 Reforming Intelligence and Securing America Act (R48592). Library of Congress. (congress.gov)
European Data Protection Board & European Data Protection Supervisor. (2019). Annex: Initial legal assessment of the impact of the U.S. CLOUD Act on the EU legal framework for the protection of personal data.
Reforming Intelligence and Securing America Act, Pub. L. No. 118-49, 138 Stat. 862 (2024). (congress.gov)
United States Code. (2018). 18 U.S.C. § 2713 (Required preservation and disclosure of communications and records). (crossborderdataforum.org)
United States Code. (n.d.). 50 U.S.C. § 1881a (Procedures for targeting certain persons outside the United States other than United States persons). Legal Information Institute, Cornell Law School. (law.cornell.edu)
Universität zu Köln (Autor/in nicht genannt). (2025, März). Rechtsgutachten zur US-Rechtslage betreffend Zugriffsmöglichkeiten von US-amerikanischen Sicherheitsbehörden auf Cloud-Daten (geschwärzte Fassung) [Gutachten im Auftrag des BMI]. Öffentlich zugänglich über FragDenStaat. (media.frag-den-staat.de)